Kategorizálják a bizalom, CIO, kiadói „nyitott
Ma, több mint valaha, mondás igaz: „Kié az információt birtokolja a világot.” És mégis, az információt - ez csak az érem egyik oldala. Még mindig képesnek kell lennie arra, hogy hozzáértő megvédeni.
Ma, több mint valaha, mondás igaz: „Kié az információt birtokolja a világot.” És mégis, az információt - ez csak az érem egyik oldala. Még mindig képesnek kell lennie arra, hogy hozzáértő megvédeni. Azonban nehéz építeni egy védelmi, nem határozza meg a szokásos osztályozás a vállalati információk bizonyos mértékű titkosságát.
Építeni egy hatékony védelmi rendszert az információs eszközök, minden cégnek szüksége mértékének meghatározására értékének különböző típusú adatokat, hogy hol vannak, hogyan és kinek kezelik, és hogyan pusztulnak végén az életciklus. Enélkül nehéz lesz, hogy megakadályozza a szivárgást az érzékeny adatok és igazolja a pénzügyi költségek adatvédelem.
Nagy hazai vállalatok általában rendelkeznek belső rend, vagy a sorrendben, amelyben azt állapítja meg, hogy milyen típusú információkat kapcsolatos bizalmas adatokat vagy üzleti adatok. Azonban ezek a meghatározások gyakran nagyon homályos (pl „és egyéb információ, kereskedelmi titok”), ráadásul nem kell szabályokat utaló információt egyik vagy másik fokú titoktartást, valamint kezelésére vonatkozó szabályokat ezen vagy más adatokat. A dokumentum ezen minőség alkalmatlan a gyakorlatban, különösen védelmére vonatkozó információk elektronikus formában.
A nagy nyugati cégek jól bevált vállalati szabványok adatosztályozási, amelyben ezek a hiányosságok hiányoznak. Ez nagyban hozzájárul egy fejlettebb szabályozás terén a tájékoztatás és a részvétel a külső tanácsadók gyakorlati tapasztalattal fejlesztése az információs biztonsági okmányok.
szüksége van egy dokumentum
Hogyan helyesen megfogalmazni szabványos osztályozási vállalati információk bizonyos mértékű titkosságát? A téma az informatikai biztonság, és különösen a besorolás, kiadott egy jelentős számú, a könyvek és kiadványok, de sajnos, az orosz nyelvű szakirodalom, mint általában, az elméleti és a külföldi tartalmaz nyilvánvaló tendenciájával biztonságát kormányzati vagy katonai információs rendszerek és ez alapján a megfelelő jogalap.
Természetesen az elmélet fontos. Azonban hogyan alkalmazzák a gyakorlatban vállalkozás a feltételek nem eléggé fejlett jogi keretet ezen a területen? Hogyan állapítható meg, milyen információk alapján a cég, hogyan kell kiválasztani a minősítési, és hogyan kell meghatározni az intézkedést a személyes adatok?
Mielőtt bármilyen szervezési és technikai intézkedéseket különösen a területén az informatikai biztonság, meg kell, hogy dolgozzon ki alkalmas gyakorlati alkalmazása a meghatározó dokumentum általános szabályokat, de nem a technikai részleteket területén a vállalati információk besorolása szerint mértékű titkosságát. Sajnos, a létrehozott nevet a dokumentumnak az orosz nyelv nem az angol, ő úgynevezett: adatosztályozási szabvány.
Ezt a dokumentumot kell hivatalosan jóváhagyta a felső vezetés, mint az igazgatóság, illetve az általános igazgató, különben a további erőfeszítések kudarcra van ítélve. Ez nem könnyű feladat, mint amilyennek látszik első pillantásra. A nagyvállalatok (különösen holding) nagyfokú bürokrácia hátráltatja elfogadását egy ilyen vállalati szabvány. Ebben az esetben szükség van számos előkészítő intézkedések elősegítése jóváhagyta a dokumentumot.
Főbb pontok a szabvány
A jogos vállalati adatok osztályozási szabvány tartalmaznia kell az alábbi részekből áll:
Nyilatkozat a cég vezetése a védelmének fontosságát információs eszközök. Ezen a ponton, akkor meg kell jelennie a magasabb vezetés a vállalat pozícióját védelméről szóló információs vagyon. A közlemény szerint a vezetés támogatását fejezi ki az intézkedéseket.
Címkézéséről és tárolási módszerek a minősített információk. Címkézési szabályokat kell meghatározni az egyes minősített információ és az összes használják a cég tárolási módszerek, beleértve a tárolás szerverek, munkaállomások, laptopok, hordozható média (floppy lemez, flash memória kártya, és így tovább. N.).
Az eljárás a pusztító média minősített adatokat. Tartalmaznia kell szabályainak megsemmisítését minden típusú információ minden típusú média használható, beleértve a merevlemezek, cserélhető adathordozók (floppy lemezek, szalagok, flash memória kártya, és így tovább. D.), E-mail, nyomtatott formában.
Szabályzat a minősített információk kezelésére. Ez a rész meghatározza jelölésének követelményeit, tárolása, szállítása és megsemmisítése minden típusú minősített adatot.
A módszer az információ minősítésének
A javasolt módszer alapja az a BS 7799 és az ISO 17799 ajánlásai nemzetközi informatikai biztonsági előírásoknak.
A folyamat kialakulásának a vállalati szabvány osztályozási információt az alábbi főbb lépésekből áll:
- egy munkacsoport;
- interjúk a divíziók a vállalat;
- a konszolidáció az összegyűjtött információkról;
- koordináció az üzleti egységek összevont információkat és jóváhagyása a szabvány.
Létrehozása egy munkacsoport
Függ, hogy a munkacsoport alakult rendesen, a rendezvény sikeréhez. A munkacsoport képviselői a felelős szervezeti egységek és a szakemberek legalább a következő tulajdonságokkal rendelkezik:
A munkacsoport képviselői az összes érintett szervezeti egységek, mint például a biztonsági szolgáltatások részlege.
Interjúkat készít a divíziók a vállalat
Hogyan állapítható meg, hogy milyen mértékben érinti a titoktartási egy bizonyos típusú információt? Ez a kérdés kell válaszolni a tulajdonos adatait. Annak ellenére, hogy a látszólagos egyszerűség gyűjteni ezt az információt nem is olyan könnyű. Elvégre ők értékesek, ha összegyűlt elegendő mennyiségben.
Ahhoz, hogy megtudja, milyen típusú információk feldolgozása bizonyos részein a cég, ott kell lennie egy interjúsorozat a felelős személyek ezeket az egységeket.
De először is meg kell készítenie előzetes listáját adattípusok, amelyek jellemzőek a vállalat az iparágban. Az ilyen jellegű lista csökkenti a ráfordított idő interjúkkal, és segít elkerülni mulasztásokért.
Minden felelős személy előzetesen el kell ismertetni a elveinek információ minősítésének és az előzetes adatok listáját fajta. Ehhez meg kell tartani bevezető előadást képviselői részlegek, ahol elmagyarázni a célok és a projekt, mondd meg, ki az a szponzor (fő megrendelő) projekt egy sor olyan lépést, elmagyarázta, hogy a képviselők a szervezeti egységek kötelesek részt, és mi a végeredmény a projekt. Az előadás jelentősen csökkenteni fogja az időt az interjúk, a személyzet kell készíteni őket.
Megbeszélése üzleti folyamatokat érintő osztály kellene egy listát az adatok a készülékben használt típusú és mindegyikük elég ahhoz, hogy egy hosszú listát a kérdést. Íme néhány közülük.
Gyakran előfordul, hogy a hadosztály a cég viszontbiztosítása eltúlozza a mértéke bizonyos adatok bizalmas jellegét. Ebben az esetben kérje vezető kérdések, mint ez: „A magasabb fokú titoktartást, a szigorúbb szabályok foglalkozik vele. Ön hajlandó aláírni a napló minden egyes alkalommal, amikor megkapja ezeket a dokumentumokat, és minden nap, hogy őket kézzel? "
Konszolidáció az összegyűjtött információk
Interjút a divíziók a vállalat, akkor folytassa a konszolidáció a gyűjtött adatok. Konszolidáció rendelni szintje információk titkosságát típusokat. Vélemények egység ezeket a hatásköröket különböző lehet, ebben az esetben hivatkozhat a szakmai megítélése szerint a munkacsoport. Néha szükség van, hogy végezzen további interjúk. A kereskedelmi vállalat listáját bizalmas és szigorúan bizalmas információk ne többet. A hosszú listája bizonyítja az elkövetett hibákat, az interjúk során.
Adategyeztetés és jóváhagyása szabvány
Az egységes szerkezetbe foglalt jegyzékét adattípusok és bizonyos fokú titoktartást kell hangolni a cég megosztottság és felső vezetés által jóváhagyott részeként a dokumentum „besorolása a mértéke információk titkosságát.” A leggyakoribb akadály ebben a szakaszban felmerül a biztonsági szolgáltatások, mert a bizalmatlanság volt a részéről, hogy a kapott eredményeket. Annak elkerülése érdekében, ez a helyzet, a folyamat a projekt és a munkacsoportban bevonja a biztonsági szolgálatok.
Mi a következő lépés?
„Besorolása információ” követelményeket határoz meg az adatkezelés, de nem a technikai részleteket. Ez szolgál a keret egy dokumentum „alacsony” szint, például dokumentum a felhasználók és rendszergazdák konfigurációs szabványok munkaállomások és szerverek.
Alex Pastoev - manager „Kerberus», [email protected]
A fragmensek példái adatok osztályozási szabvány
A meghatározásának szabályait a bizalmas információk
„Bizalmas” kell rendelni csak azokat az információkat, amely abban az esetben annak közzététele rontja a versenyképességét a cég, komoly anyagi kárt eredményezhet nem tartása szabályozási kötelezettségeket, alacsony társadalmi presztízsű, vagy más módon súlyosan károsíthatja a cég ügyfelei, vagy partnerei.
Ossza meg képeit barátaival és kollégáival